Scan Source Code Plugin WordPress dengan WPSploit

Rabu, 29 November 2017

Scan Kode Plugin WordPress dengan WPSploit - Kali ini saya bakal sharing tips seputar WordPress. WPSploit adalah tools yang ditulis dengan bahasa python dan difungsikan untuk melakukan scanning  terhadap source code plugins WordPress. Tujuannya tentu saja untuk mengaudit sumber kode tersebut untuk menghindari kode yang memiliki celah.
Jadi tools ini bukan untuk meng-eksploitasi plugin yang sudah terpasang, namun untuk mengaudit kode sumber dan mencari eberapa kode yang kemungkinan menyebabkan sebuah bug. Ya tentu saja outputnya hanya sebuah laporan, kalian harus meneliti kembali apakah kode tersebut benar bug atau bukan.

Cara pakainya cukup mudah. Tinggal clone dari halaman github dengan kodenama m4ll0k.
git clone https://github.com/m4ll0k/wpsploit.git
cd wpsploit
python wpsploit.py plugin_file.php
Contoh penggunaan :
wget https://plugins.svn.wordpress.org/analytics-for-woocommerce-by-customerio/trunk/admin/class-wccustomerio-admin.php
python wpsploit.py class-wccustomerio-admin.php
Contoh output :
root@sg-zombie:~/tools# python wpsploit.py class-wccustomerio-admin.php
########################################
 - Wodpress Plugin Code Scanner
 - Coded by Momo Outaadi (@m4ll0k)
########################################
Checking Cross-Site Scripting...
        - Possibile Cross-Site Scripting ==> $_GET['activate-multi']
        - Possibile Cross-Site Scripting ==> $_GET['tab']
        - Possibile Cross-Site Scripting ==> $_GET['page']
        - Possibile Cross-Site Scripting ==> $_POST['email_id']
        - Possibile Cross-Site Scripting ==> $_POST['email_id']
        - Possibile Cross-Site Scripting ==> $_SERVER['HTTP_HOST']
Checking SQL Injection...
Checking File Download...
Checking File Inclusion...
Checking PHP Object Injection...
        - Possibile PHP Object Injection ==> unserialize($response_new)
Checking Command Execution...
Checking PHP Code Execution...
Checking Open Redirect...
Checking Cross-Site Request Forgery...
root@sg-zombie:~/tools#
Mudah bukan ?
Sekian artikel kali ini , semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan komentar.
Judul Artikel: Scan Source Code Plugin WordPress dengan WPSploit
Ditulis oleh: Jack Wilder
Rating Artikel: 5 dari 5

Another Cool Stuff

Artikel Terkait Hardening ,Python ,Tools ,WordPress

Tidak ada komentar:

Posting Komentar